Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
slash
|
Добавлено: 18-02-07 03:35 Заголовок сообщения: Пакетный фильтр |
|
|
Читаем до "просветления"
интернет-центр > поддержка > пакетные фильтры
http://isp.vsi.ru/support/ipfw.html
Цитата: | Персональный пакетный фильтр представляет собой набор правил для фильтрации IP-пакетов на исходящем интерфейсе от ISP к клиенту. С помощью редактора пакетных фильтров клиент создает набор правил, разрешающих или запрещающих прием пакетов определенного типа или адресованных определенному сервису Интернет. Использование фильтра может быть полезно в тех случаях, когда необходимо ограничить входящий трафик, например, разрешив доступ к установленному у вас веб серверу только с определенных адресов. Таким образом, с помощью пакетных фильтров можно организовать персональный firewall на стороне провайдера.
|
ПУБЛИЧНАЯ ОФЕРТА
http://domolink.vsi.ru/?page=abonents&view=oferta
Цитата: | 4.3.4. В целях защиты абонентского оборудования от несанкционированных действий третьих лиц, вводить фильтрацию входящего трафика по определенным портам протоколов TCP и UDP. Адрес страницы, на которой приведена информация о текущих фильтрах, указан на http://domolink.vsi.ru/. |
использовать пакетный фильтр для того что бы самому не скачать чего лишнего - извращение.
если кто-то из челов "абсолютно контролирующих трафик" хочет "попасть на бабки", пусть пишет, устрою ;)
пакетный фильтр не спасет
ЗЫ. оплачивается ли только входящий трафик или наибольший, так и не понял. в договоре - вода:
"..Стоимость Услуги определяется в соответствии с объемом оказанных услуг в соответствии с тарифами Оператора..."
"3.3. Подсчет трафика ведется согласно выбранному Абонентом тарифному плану.
3.4. информация о действующих тарифных планах и тарифах Прейскуранта Оператора на Услугу размещена на сервере http://domolink.vsi.ru/."
Ну а в тарифах везде употребляется загадочное слово "трафик", нигде конкретики. Буду признателен, если кто-нибудь разъяснит. Есть подозрение, что все же оплачивается больший. |
|
Сообщения: 8
|
|
|
slash
|
Добавлено: 18-02-07 04:57 Заголовок сообщения: |
|
|
Вопросы к Support'у:
мои настройки пакетного фильтра:
Код: | # Действие Протокол Адрес_источника Порт Адрес_назначения Порт Тип_ICMP Дополнительно
1. permit ip 77.45.128.0/0.0.127.255 none any none
2. permit ip 80.82.32.0/0.0.31.255 none any none
3. permit ip 88.83.192.0/0.0.31.255 none any none
4. permit tcp any none any none [x] Established
5. permit icmp any none any none 0
|
1-3 правило - разрешает коннект из ВСИшной сети.
4 правило - разрешает established tcp соединения, т.е. доступ к любым tcp-сокетам(icq,web,dyndns и прочее, что работает через tcp с некоторыми ограничениями.. к примеру, ftp только в пассивном режиме).
5 правило позволяет пинговать внешние ресурсы. так как исходящий трафик может быть ограничен только мной, а входящий пакетным фильтром, значит "echo request" (как и все остальное) мне разрешен, ну а "echo replay" приходится разрешать отдельным правилом.
объясните в чем "сакральный" смысл "Check fragments"?
Код: | Check fragments — под действие правила подпадают только фрагменты пакетов TCP и UDP, следующие за начальным пакетом в группе фрагментов; |
вроде по русски написано, а всерано не понятно =)
как быть с udp, пока не знаю.. может после вашего ответа прояснится
Читаем: "Персональный пакетный фильтр представляет собой набор правил для фильтрации IP-пакетов на исходящем интерфейсе от ISP к клиенту". Отсюда можно сделать вывод, что "any" в "Адресе назначения" всегда будет ровняется моему ip? |
|
Сообщения: 8
|
|
|
Anshi
|
Добавлено: 18-02-07 11:49 Заголовок сообщения: |
|
|
slash, ну с чего ты взял, что "учитывается наибольший трафик"?
Цитата: | "..Стоимость Услуги определяется в соответствии с объемом оказанных услуг в соответствии с тарифами Оператора..." |
то есть, сколько трафика насидел (скажем так, по объему), столько и оплатил (в соответствии с тарифами, а точнее твоим). Опять же, речь идет не только о трафике. Например, есть еще статические IP-адреса, еони тоже входят в "объем оказанных услуг", если тебе нужен статический IP? его тоже надо оплатить "согласно тарифам оператора".
Цитата: | "3.3. Подсчет трафика ведется согласно выбранному Абонентом тарифному плану.
3.4. информация о действующих тарифных планах и тарифах Прейскуранта Оператора на Услугу размещена на сервере http://domolink.vsi.ru/." |
Здесь http://domolink.vsi.ru/?page=abonents можно почитать то тарифных планах. Относительно "подсчета трафика согласно выбранному..." - если у тебя тариф, в который включен трафик, то за него ты платить не будешь. Выйдешь за пределы "лимита"- придется доплатить (стоимость за мегабайт см. там же)
Цитата: | Ну а в тарифах везде употребляется загадочное слово "трафик", нигде конкретики. |
Здесь http://isp.vsi.ru/support/traffic_classes.html можно почитать о классах трафика. Локальный трафик ты не оплачиваешь(халява ), платишь же за интернет- трафик. Ну не стоит еще забывать о том, что на локальных адресах могут быть ссылки на внешние ресурсы, и предже чем качать фильмы, убедись, что это http://www.torrents.vsi.ru/, а не torrents.ru
Кстати, вот еще одна небесполезная ссылка http://isp.vsi.ru/forum/viewtopic.php?t=745 |
|
Сообщения: 8
|
|
|
VladBest
|
Добавлено: 18-02-07 12:23 Заголовок сообщения: |
|
|
а как пакетник настроить чтобы аська между клиентами домолинк была бесплатной? |
|
Сообщения: 67
|
|
|
Oleg
|
Добавлено: 18-02-07 15:00 Заголовок сообщения: Re: Пакетный фильтр |
|
|
slash писал(а): |
использовать пакетный фильтр для того что бы самому не скачать чего лишнего - извращение.
если кто-то из челов "абсолютно контролирующих трафик" хочет "попасть на бабки", пусть пишет, устрою
пакетный фильтр не спасет
|
Ну да, ну да. Вот предположим такой ACL будет:
deny ip host 80.82.32.11 any
permit ip 77.45.128.0/0.0.127.255
permit ip 80.82.32.0/0.0.31.255 any
permit ip 88.83.192.0/0.0.31.255 any
deny ip any any
А выходить в Интернет буду через прокси. Расскажите, пожалуйста, механизм, с помощью которого вы собираетесь нагнать трафик, очень интересно послушать.
slash писал(а): |
объясните в чем "сакральный" смысл "Check fragments"?
Код: | Check fragments — под действие правила подпадают только фрагменты пакетов TCP и UDP, следующие за начальным пакетом в группе фрагментов; |
|
Что конкретно непонятно в данной фразе ? Есть начальный IP-пакет, есть следующие за ним фрагменты. Правила с check fragments относятся к пакетам-фрагментам.
slash писал(а): |
как быть с udp, пока не знаю.. может после вашего ответа прояснится
|
С UDP быть сложно, там нет понятия "соединения", таким образом, нужно будет для каждого случая свой набор правил рисовать.
slash писал(а): |
Читаем: "Персональный пакетный фильтр представляет собой набор правил для фильтрации IP-пакетов на исходящем интерфейсе от ISP к клиенту". Отсюда можно сделать вывод, что "any" в "Адресе назначения" всегда будет ровняется моему ip?
|
Не конкретному какому-то вашему, а любому. Не нужно смотреть на это как на какую-то ПОДСТАНОВКУ вместо any какого-то конкретного IP. У вас может быть много IP, например, вы можете заказать себе сеть IP-адресов (если у вас не Домолинк), и any будет соответствовать любому из них. |
|
Сообщения: 1329
|
|
|
slash
|
Добавлено: 18-02-07 15:16 Заголовок сообщения: |
|
|
Anshi писал(а): | slash, ну с чего ты взял, что "учитывается наибольший трафик"? |
Из опыта работы с воронежскими isp.
Цитата: | Цитата: | "..Стоимость Услуги определяется в соответствии с объемом оказанных услуг в соответствии с тарифами Оператора..." |
то есть, сколько трафика насидел (скажем так, по объему), столько и оплатил (в соответствии с тарифами, а точнее твоим). Опять же, речь идет не только о трафике. Например, есть еще статические IP-адреса, еони тоже входят в "объем оказанных услуг", если тебе нужен статический IP? его тоже надо оплатить "согласно тарифам оператора".
Цитата: | "3.3. Подсчет трафика ведется согласно выбранному Абонентом тарифному плану.
3.4. информация о действующих тарифных планах и тарифах Прейскуранта Оператора на Услугу размещена на сервере http://domolink.vsi.ru/." |
Здесь http://domolink.vsi.ru/?page=abonents можно почитать то тарифных планах. Относительно "подсчета трафика согласно выбранному..." - если у тебя тариф, в который включен трафик, то за него ты платить не будешь. Выйдешь за пределы "лимита"- придется доплатить (стоимость за мегабайт см. там же)
Цитата: | Ну а в тарифах везде употребляется загадочное слово "трафик", нигде конкретики. |
Здесь http://isp.vsi.ru/support/traffic_classes.html можно почитать о классах трафика. Локальный трафик ты не оплачиваешь(халява ), платишь же за интернет- трафик. Ну не стоит еще забывать о том, что на локальных адресах могут быть ссылки на внешние ресурсы, и предже чем качать фильмы, убедись, что это http://www.torrents.vsi.ru/, а не torrents.ru
Кстати, вот еще одна небесполезная ссылка http://isp.vsi.ru/forum/viewtopic.php?t=745 |
спасибо конечно тебе за желание помочь..
но чувак, ты "не в теме", и рассуждаешь как "домохозяйка"..
"сколько трафика насидел (по объему), столько и оплатил"
.. я не спрашивал про статические ip, про классы трафика, про локальный и не локальный трафик.. из что плачу, тож в курсе..
меня интересовало, плачу ли я деньги только за входящий трафик(интернет трафик.. речь только о нем).. а если исходящий будет превышать входящий, за кокой из [..]
придется платить. В тарифах ни слова про входящий/исходящий. Может и правильно.. у обывателя и так мозг всякими непонятными штуками засран.
Сижу на препейд тарифе, по крайней мере для себя выяснил, что деньги снимают за входящий..
сделал upload 9-ти мегабайтного файла.. заплатил 56копеек
Код: |
Услуга: Тариф: Время обновления: Деньги: Байт передано: Байт принято:
Интернет StartLinkNeo [локальный трафик] 18.02.2007:12:38:54 0.00 руб. 24399102 524083
Интернет StartLinkNeo [интернет трафик] 18.02.2007:12:39:13 0.56 руб. 10089661 306523 |
|
|
Сообщения: 8
|
|
|
Anshi
|
Добавлено: 18-02-07 16:51 Заголовок сообщения: |
|
|
ну, я- то только с Домолинком работала, так что опыта у меня, действительно небогато. Но могу сказать точно, что оплата идет только за входящий траф. Без всяких больше/меньше |
|
Сообщения: 8
|
|
|
slash
|
Добавлено: 18-02-07 16:57 Заголовок сообщения: Re: Пакетный фильтр |
|
|
Oleg писал(а): | slash писал(а): |
использовать пакетный фильтр для того что бы самому не скачать чего лишнего - извращение.
если кто-то из челов "абсолютно контролирующих трафик" хочет "попасть на бабки", пусть пишет, устрою
пакетный фильтр не спасет
|
Ну да, ну да. Вот предположим такой ACL будет:
deny ip host 80.82.32.11 any
permit ip 77.45.128.0/0.0.127.255
permit ip 80.82.32.0/0.0.31.255 any
permit ip 88.83.192.0/0.0.31.255 any
deny ip any any
А выходить в Интернет буду через прокси. Расскажите, пожалуйста, механизм, с помощью которого вы собираетесь нагнать трафик, очень интересно послушать. |
сейчас попробую.. если нефига не получится, напишу об этом здесь.. в обратном случаи в личку.
Цитата: | slash писал(а): |
объясните в чем "сакральный" смысл "Check fragments"?
Код: | Check fragments — под действие правила подпадают только фрагменты пакетов TCP и UDP, следующие за начальным пакетом в группе фрагментов; |
|
Что конкретно непонятно в данной фразе ? Есть начальный IP-пакет, есть следующие за ним фрагменты. Правила с check fragments относятся к пакетам-фрагментам. |
"Check fragments" можно использовать только с действием "permit", других вариантов не вижу..
Не понятно каким образом я могу использовать эту "опцию" в пакетном фильтре... хочу услышать конкретный пример.
должно быть мой мозг отсох благодаря использованию netfilter (iptables)..
правила :
FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
достаточно для того что бы пропускать все "ответные" пакеты на мои исходящие.. будь-то udp или icmp.. и всякие ftp, irc
Код: | ...ESTABLISHED meaning that the packet is associated with a connection which has seen packets in both directions, NEW meaning that the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions, and RELATED meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error. |
Цитата: | slash писал(а): |
как быть с udp, пока не знаю.. может после вашего ответа прояснится
|
С UDP быть сложно, там нет понятия "соединения", таким образом, нужно будет для каждого случая свой набор правил рисовать. |
ну правил всего лишь 6ть.. много не нарисуешь =)
если что, есть cache.vsi.ru
Цитата: | slash писал(а): |
Читаем: "Персональный пакетный фильтр представляет собой набор правил для фильтрации IP-пакетов на исходящем интерфейсе от ISP к клиенту". Отсюда можно сделать вывод, что "any" в "Адресе назначения" всегда будет ровняется моему ip?
|
Не конкретному какому-то вашему, а любому. Не нужно смотреть на это как на какую-то ПОДСТАНОВКУ вместо any какого-то конкретного IP. У вас может быть много IP, например, вы можете заказать себе сеть IP-адресов (если у вас не Домолинк), и any будет соответствовать любому из них. |
ну у меня пока лишь всего один ip, и то динамический.. про сеть я не подумал.. и я прекрасно понимаю, что нет ни какой подстановки.. вы меня не совсем правильно поняли, ключевым здесь бло не "ip", а "моему" ip..
понятно что в создаваемых мною правилах в поле 'dst ip' стоит 'any', но в цепочку правил попадают лишь пакеты адресованные мне..
вроде бы очевидно, но нигде это не указанно |
|
Сообщения: 8
|
|
|
Oleg
|
Добавлено: 18-02-07 17:22 Заголовок сообщения: Re: Пакетный фильтр |
|
|
slash писал(а): |
"Check fragments" можно использовать только с действием "permit", других вариантов не вижу..
Не понятно каким образом я могу использовать эту "опцию" в пакетном фильтре... хочу услышать конкретный пример.
|
Почему это только с permit ? Вот например не хочу я, чтобы ко мне проходили фрагментированные пакеты вообще - ну рассчитываю я на нормальную работу PMTUD или к IPv6 морально готовлюсь, так я могу написать следующее:
deny ip any any check-fragments
permit ip any any
Есть например атаки, которые состоят в отсылании на удаленный хост большого количества фрагментированных кусочков пакетов без начальных фрагментов, из таких кусочков никогда не соберешь целый пакет, и это дело забьет reassembly cache у этого удаленного хоста и ему настанет привет (масштабы привета зависят от того, как удаленная ОС обработает такой случай). Если вы параноик и PMTUD у вас работает нормально, то прохождение фрагментированных пакетов можно запретить.
slash писал(а): |
понятно что в создаваемых мною правилах в поле 'dst ip' стоит 'any', но в цепочку правил попадают лишь пакеты адресованные мне..
вроде бы очевидно, но нигде это не указанно
|
Ну правильно, потому что это очевидно. Если фильтр действует только на ИСХОДЯЩИЕ от провайдера к клиенту пакеты (а это указано в описании фильтра), то из этого логически следует, что "any" в адресе назначения относится к любому адресу с клиентской стороны. |
|
Сообщения: 1329
|
|
|
Medved_76
|
Добавлено: 07-06-09 21:42 Заголовок сообщения: Пакетный фильтр |
|
|
В работе появились адреса диапазона IPv6. Напишите пожалуйста: какой синтаксис в написании диапазона IP адресов версии 6? Заранее благодарен. |
|
Сообщения: 17
|
|
|
ZEN
|
Добавлено: 08-06-09 11:57 Заголовок сообщения: |
|
|
Число год месяц посмотри, и пи чем тут фильтры, или ты спал 2 года? |
|
Сообщения: 79
|
|
|
Medved_76
|
Добавлено: 08-06-09 18:28 Заголовок сообщения: |
|
|
ZEN писал(а): | Число год месяц посмотри, и пи чем тут фильтры, или ты спал 2 года? |
Уважаемый, если у Вас есть что ответить по делу - отвечайте. Если нет, то тогда ненадо "язвить" Лучше написали-бы, действительно, пример диапазона адресов IPv6. Я уже видел их и они, эти IP адреса уже в нашей сети работают (по крайней мере оборудование с ними работает). Я уже "хватанул" лишнего, внешнего трафика из-за них. Только вот с адресами с этими, не могу разобраться. А диапазон мне нужен для того, чтобы естественно, прописать его в фильтр. |
|
Сообщения: 17
|
|
|
Woin
|
Добавлено: 08-06-09 18:29 Заголовок сообщения: |
|
|
Medved_76 писал(а): | ZEN писал(а): | Число год месяц посмотри, и пи чем тут фильтры, или ты спал 2 года? |
Уважаемый, если у Вас есть что ответить по делу - отвечайте. Если нет, то тогда ненадо "язвить" Лучше написали-бы, действительно, пример диапазона адресов IPv6. Я уже видел их и они, эти IP адреса уже в нашей сети работают (по крайней мере оборудование с ними работает). Я уже "хватанул" лишнего, внешнего трафика из-за них. Только вот с адресами с этими, не могу разобраться. А диапазон мне нужен для того, чтобы естественно, прописать его в фильтр. |
Фильтры уже готовые есть. |
|
Сообщения: 248
|
|
|
ZEN
|
Добавлено: 08-06-09 19:04 Заголовок сообщения: |
|
|
уважаемый синтаксис нимеет никакого значения ибо фильтры стандартизированы, а если вы себе поставили велосипед(ip v6) учитесь с ним работать, или продолжайте юзать самокат, а что вы изза своей неграмотности чтото там хватанули никого неинтересует. |
|
Сообщения: 79
|
|
|
Medved_76
|
Добавлено: 08-06-09 20:44 Заголовок сообщения: |
|
|
Woin писал(а): | Medved_76 писал(а): | ZEN писал(а): | Число год месяц посмотри, и пи чем тут фильтры, или ты спал 2 года? |
Уважаемый, если у Вас есть что ответить по делу - отвечайте. Если нет, то тогда ненадо "язвить" Лучше написали-бы, действительно, пример диапазона адресов IPv6. Я уже видел их и они, эти IP адреса уже в нашей сети работают (по крайней мере оборудование с ними работает). Я уже "хватанул" лишнего, внешнего трафика из-за них. Только вот с адресами с этими, не могу разобраться. А диапазон мне нужен для того, чтобы естественно, прописать его в фильтр. |
Фильтры уже готовые есть. |
Где можно на них посмотреть? |
|
Сообщения: 17
|
|
|
ZEN
|
Добавлено: 08-06-09 21:24 Заголовок сообщения: |
|
|
в профиле ползователя на сервере статистики stat.vsi.ru читайте внимательно карточку в которой у вас логин и пароль! если по препейду то в личном кабинете! |
|
Сообщения: 79
|
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
|
|